Abstract_Lights_P_0152

15 giugno 202329 minuti di lettura

Innovation Law Insights

15 giugno 2023
Podcast

In questa serie di episodi, riviviamo in formato video e podcast, i principali interventi dell’evento organizzato da DLA Piper sul presente e futuro dell’intelligenza artificiale.

La posizione americana sulla regolamentazione dell’intelligenza artificiale

In questo episodio, Victoria Espinel, Presidente e Amministratore Delegato, BSA e componente del gruppo di super esperti che sta lavorando alla bozza di normativa americana sull’intelligenza artificiale ne discute con Roberto Valenti, socio dello studio legale DLA Piper. L’episodio del podcast è disponibile qui.

L’AI Act comunitario e l’offerta innovativa di DLA Piper sull’intelligenza artificiale

In questo episodio di Diritto al Digitale, gli Avvocati Giacomo Lusardi e Tommaso Ricci dello studio legale DLA Piper illustrano i principali contenuti dell’AI Act e la proposta innovativa di DLA Piper sulla verifica della compliance dei sistemi di intelligenza artificiale alla normativa applicabile e agli standard di mercato tramite soluzioni di legal tech. L’episodio del podcast è disponibile qui.

La prospettiva delle imprese sull’intelligenza artificiale e le sue criticità

In questo episodio di Diritto al Digitale, gli Avvocati Elena Varese e Alessandro Ferrari dello studio legale DLA Piper discutono dell’impatto dell’intelligenza artificiale sulle imprese con Massimo Bondanza (Head of Innovation & Digital Channels, Banca Progetto), Luisella Giani (EMEA Head of Commercial Industries, Oracle), Claudia Pavoletti (Director EMEA JPAC Legal Affairs-License Management Services, Trellix), Paolo Raineri, Innovation and Data Driven Expert, ed Elisa Rosati (Legal Counsel, Reply). L’episodio del podcast è disponibile qui.

 

Data Protection & Cybersecurity

Eseguita dal Garante Privacy la prima confisca di banche dati ai danni di call center dedicate a telemarketing

Il Garante per la Protezione dei Dati Personali ha eseguito per la prima volta operazioni di confisca di banche dati di proprietà di alcuni call center. Tale confisca, che è stata accompagnata da sanzioni per quasi 2 milioni di euro, si inserisce nell’ambito della strategia di contrasto al “telemarketing selvaggio”, che vede da tempo impegnata l’Autorità.

L’azione ispettiva del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza ha fatto emergere una fitta rete di telemarketing illegale attiva nel settore energetico. In particolare, le società che sono state oggetto di sanzione svolgevano estese attività promozionali e di vendita di servizi energetici, sia telefonicamente che porta a porta. Tali attività, si legge nel provvedimento del Garante, avvenivano “in totale spregio della normativa in materia di dati personali” e nella inconsapevolezza delle compagnie energetiche sponsorizzate.

Come è stato rilevato, la banca dati utilizzata da una delle società coinvolte per effettuare attività di call center è stata ottenuta attraverso elenchi di clienti acquistati illecitamente da un non meglio individuato venditore su Facebook, nonché da alcune società italiane e spagnole già oggetto di segnalazione alle autorità garanti. I contratti di fornitura di servizi energetici ottenuti attraverso la lista clienti sono stati poi trasferiti per l’attivazione dei contratti energetici ad altre due società che li hanno a loro volta inseriti nella sua banca dati, anche questa sequestrata.

Le attività di trattamento operate dalle società non solo sono state svolte senza aver reso agli interessati la necessaria informativa e acquisito relativo consenso, ma anche senza che fosse stata effettuata adeguata nomina dei soggetti titolari, responsabili o sub responsabili del trattamento.

Il tutto è pertanto avvenuto “nella totale inconsapevolezza degli interessati/clienti che non hanno mai avuto contezza del fatto che i propri dati personali sono passati di mano in mano fra soggetti che non offrivano alcuna garanzia di correttezza delle operazioni svolte e di sicurezza dei dati trattati”. Da queste attività si è poi prodotto un circolo vizioso di chiamate di disturbo e contatti illeciti, completamente avulso dall'intenzione di offrire servizi economicamente vantaggiosi al cliente e legato solo alla necessità di aumentare il numero di chiamate, i contratti stipulati e i profitti delle aziende, che lavoravano a provvigione.

Come ha dichiarato il Garante nel Provvedimento “La misura della confisca assume, dunque, il significato di restituire, quantomeno idealmente e figurativamente, agli interessati, il senso di una adeguata tutela dei propri dati personali per il tramite di una pubblica Autorità, a fronte del fatto che l’oggetto della confisca – in particolare le banche dati di Arnia – rappresenta al contempo lo strumento e il prodotto dell’insieme di violazioni sin qui richiamate”.

Il provvedimento di cui si è trattato sembrerebbe non essere un caso isolato, da tempo il Garante sta portando avanti una campagna di contrasto a quello che più volte ha definito il “sottobosco” del telemarketing illegale. A marzo è stato adottato dal garante il Codice di Condotta sul telemarketing, contente misure atte a garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo la filiera del telemarketing. Inoltre, è notizia recentissima l’adozione da parte del Garante di provvedimenti sanzionatori ai danni delle società Tim, Green Network e Sorgenia per quasi 9 milioni di euro per non adeguata vigilanza sui call center abusivi.

Sul tema può essere di interesse il seguente articolo "Telemarketing - il Garante privacy approva il Codice di Condotta (dirittoaldigitale.com)".

 

Intellectual Property

La nuova moda dei prodotti customizzati: tutela del marchio e principio di esaurimento

Negli ultimi anni è esplosa la moda dei prodotti customizzati, che stanno guadagnando sempre più popolarità in vari settori, dall'abbigliamento all'elettronica, passando per l'arredamento e molto altro ancora. Trattasi di prodotti che i consumatori possono personalizzare, creando articoli unici secondo le proprie preferenze.

Tuttavia, l'emergere di questa nuova moda ha sollevato importanti questioni legate alla tutela del marchio e ai diritti di proprietà intellettuale dei brand che commercializzano i prodotti oggetto di personalizzazione. Il presente articolo si propone dunque di esplorare i limiti imposti a questa tendenza dalla prospettiva dei diritti di proprietà intellettuale, concentrandosi in particolare sul principio di esaurimento e sulle sfide che esso solleva per le aziende e i consumatori.

Con la registrazione del marchio vengono riconosciuti in capo al titolare una serie di diritti, tra cui il diritto di utilizzarlo in via esclusiva e di impedirne l’uso da parte di chiunque non sia autorizzato. Tuttavia, in base al principio di esaurimento del marchio, una volta che il titolare mette i suoi beni in commercio non potrà più opporsi ad ulteriori e successive commercializzazioni degli stessi sul mercato. Il principio di esaurimento è disciplinato all’art. 5 del codice della proprietà intellettuale, che prevede “1. Le facoltà esclusive attribuite dal presente codice al titolare di un diritto di proprietà industriale si esauriscono una volta che i prodotti protetti da un diritto di proprietà industriale siano stati messi in commercio dal titolare o con il suo consenso nel territorio dello Stato o nel territorio di uno Stato membro della Comunità europea o dello Spazio economico europeo”. Il comma 2 stabilisce però che tale principio non trova applicazione “quando sussistano motivi legittimi perché il titolare stesso si opponga all'ulteriore commercializzazione dei prodotti, in particolare quando lo stato di questi è modificato o alterato dopo la loro immissione in commercio. […]”. In tali casi, infatti, i consumatori potrebbero essere portati a credere che le modifiche apportate al prodotto siano state autorizzate dal titolare del marchio, facendo venir meno la funzione distintiva e di garanzia tipica della privativa in questione.

Per tale motivo alcuni servizi – quali, ad esempio, i servizi di riparazione o di pulizia di un prodotto – non sollevano particolari complicazioni rispetto all’ambito di applicazione del principio di esaurimento, permettendo quindi a un terzo di fornire tali servizi senza bisogno di ottenere l’autorizzazione del titolare dei diritti sul marchio. Diversamente, quando una terza parte interviene sui prodotti recanti il marchio apportandovi una modifica materiale in modo permanente con lo scopo di rivenderli (ad esempio, cambiandone il colore, aggiungendo applicazioni e dettagli o combinando il capo con elementi di altri brand), l’applicazione del principio di esaurimento è da ritenersi esclusa.

Sul punto, la dottrina è concorde nell’affermare che non qualsiasi alterazione del prodotto integri il limite al principio dell’esaurimento, ma solamente quella che interferisca con la specifica funzione del diritto di proprietà industriale che viene in gioco. Così, ad esempio, in materia di segni distintivi sarà rilevante la modifica del prodotto che pregiudichi la capacità di indicare la provenienza del segno o la sua attrattiva legata all’immagine di cui goda presso il pubblico di riferimento.

La giurisprudenza ha interpretato il concetto di alterazione o modificazione in senso più ampio, ricomprendendovi il riconfezionamento, la rietichettatura, e addirittura la rivendita secondo modalità di presentazione pregiudizievoli della notorietà del marchio. In tale prospettiva qualsiasi modifica alle modalità di presentazione del prodotto, ancorché limitata alla confezione o alla immagine complessiva, può in linea di principio essere vietata dal titolare del marchio (Tribunale di Milano, 28 febbraio 2022 e Tribunale di Torino, 12 maggio 2008).

Secondo un risalente orientamento giurisprudenziale, è stato ritenuto responsabile di contraffazione il soggetto che reimmette sul mercato prodotti da lui modificati, mantenendo tuttavia su di essi il marchio originario (Trib. Milano 21 febbraio 1977: il potere di uso esclusivo del marchio viene leso da chi manipoli il prodotto contrassegnato ad esempio sostituendone la parte esterna originale (nella specie: il rivestimento esterno degli accendisigari), poiché in tale caso egli estende abusivamente la protezione del marchio sulla parte proveniente dalla sua manipolazione ma non prodotta dalla ditta titolare del marchio, unica avente il diritto di servirsi in modo esclusivo del contrassegno). Nello stesso senso Trib. Milano 19 maggio 1980, secondo cui costituisce contraffazione di marchio la rivendita con il marchio originario di prodotti manipolati, dovendosi intendere per manipolazione qualsiasi alterazione (sostituzione, aggiunta, eliminazione) volta a modificare le caratteristiche originarie del prodotto e le modalità di presentazione di esso al pubblico. Sul punto, rileva anche la decisione del Trib. Milano 18 maggio 2004 secondo cui nell’ipotesi in cui parti di prodotti originali recanti un marchio vengano inserite da un terzo in nuovi prodotti, il terzo non può invocare il principio dell’esaurimento del marchio che riguarda la diversa ipotesi di ulteriore circolazione del prodotto originale sul mercato dopo una prima lecita immissione”.

Nel caso dei prodotti customizzati, il prodotto è nuovo, autonomo e diverso rispetto a quello immesso sul mercato dal titolare del marchio e, di conseguenza, non da lui autorizzato. Con sentenza n. 1459 del 3 ottobre 2018, il Tribunale di Udine si è pronunciato sulla questione per la prima volta anche sotto il profilo penale, ravvisando in questo fenomeno un’ipotesi di contraffazione di marchio altrui ex articolo 473 del codice penale. Il caso aveva ad oggetto la produzione e commercializzazione di spille ottenute dall’assemblaggio di bottoni recanti alcuni marchi figurativi e denominativi appartenenti al settore della moda. Parte di questi bottoni erano originali, altri contraffatti. Con riguardo alle spille realizzate con i bottoni contraffatti, il Tribunale di Udine ha ritenuto indubbia la sussistenza del reato, ma ha poi precisato che anche l’impiego di prodotti originali (ovvero, nel caso di specie, bottoni) integra l’elemento materiale del reato. Inoltre, è stato confermato che l’assemblaggio del prodotto finale dia luogo a un articolo del tutto nuovo che, sebbene rimanga contraddistinto dal marchio originale, non è stato prodotto o in ogni caso autorizzato dal titolare di quel marchio. Il Tribunale di Udine ha dunque concluso affermando che l'attività di customizzazione è lesiva della fede pubblica (ovvero il bene tutelato dall'art. 473 del codice penale), proprio perché il prodotto nuovo recante il marchio originale risulta idoneo ad ingannare i consumatori rispetto all'origine imprenditoriale del prodotto stesso.

Inoltre, il 25 luglio 2022, il Tribunale di Milano ha ritenuto sussistente la contraffazione dei marchi di Airway International Ltd., titolare dei marchi “Dr. Martens” da parte della società resistente che pubblicizzava i celebri stivaletti customizzati attraverso l’aggiunta di borchie, glitter, schizzi di vernice, inserti in tessuto, ecc. e venduti come "modelli unici" a un prezzo superiore rispetto a quello degli articoli originali. Il Tribunale ha ritenuto “che il decreto pronunciato inaudita altera parte debba trovare conferma in quanto, come già osservato in tale sede, non si è verificato l'esaurimento dei diritti di privativa di parte ricorrente sui marchi di cui è titolare, non essendo applicabile tale principio allorché lo stato delle calzature Dr Martens è alterato o modificato dopo l'immissione in commercio da parte di AIRWAIR INTERNATIONAL Ltd (art.5 co.2 cpi), in assenza dell'autorizzazione di parte ricorrente”. Pertanto, sono stati disposti la descrizione e il sequestro dei prodotti contraffatti e l’inibitoria per la loro produzione, commercializzazione e produzione.

Questa decisione adotta un’interpretazione ancora più ampia del concetto di “alterazione” e segna sicuramente un passo importante per la tutela dei brand vittima di questo fenomeno, aprendo la strada a nuovi contenziosi.

Anche oltreoceano ci sono stati alcuni casi che hanno posto all’attenzione dei tribunali il tema delle personalizzazioni, anche se in questo caso – data la delicatezza del tema – come spesso accade le parti hanno cercato una soluzione transattiva. Ad esempio, il brand la Californienne vendeva Rolex personalizzati con cinturini colorati. L'azienda svizzera sosteneva che l’alterazione dei propri prodotti, volta ad includere anche parti non originali, facesse di un orologio autentico un orologio contraffatto, e affermava che tale operazione “rende nulla la garanzia di Rolex [sui suoi orologi], in gran parte perché lo scambio di parti fa in modo che Rolex non possa più garantire la qualità o le prestazioni di tali orologi”. Inoltre, Rolex sosteneva che La Californienne stesse confondendo i consumatori e che tale rischio di confusione non venisse meno per via “dalla stampa del nome dei convenuti sul quadrante dei prodotti alterati, poiché gli orologi recano anche uno o più marchi registrati di Rolex”. Inoltre, secondo Rolex, La Californienne intaccava deliberatamente il valore del brand svizzero e sfruttava la notorietà e la reputazione di tale marchio, traendone indebito vantaggio attraverso attività di promozione e pubblicità volte a far credere ai consumatori che la convenuta fosse a ciò autorizzata da Rolex. Le parti hanno raggiunto un accordo secondo cui La Californienne è autorizzata a comunicare ai consumatori che i suoi orologi sono Rolex d'epoca, ora modificati, ma le è fatto divieto di utilizzare o riprodurre qualsiasi marchio Rolex, anche sul proprio sito web, nonché di utilizzare una descrizione che includa parole o simboli che rappresentino i suoi prodotti come orologi Rolex.

Su un argomento simile si veda l'articolo "Come i fashion brand possono promuovere la sostenibilità e proteggere il loro marchio".

La responsabilità delle piattaforme online per i contenuti terroristici: Stati Uniti e Italia a confronto

La Corte suprema statunitense ha emanato una decisione in tema di responsabilità delle piattaforme online per i contenuti terroristici pubblicati su queste ultime.

  • Stati Uniti: La decisione del caso Twitter, Inc. v. Taamneh

A seguito dell’attacco terroristico da parte di un membro dell’ISIS in Turchia, la famiglia di una delle vittime ha citato in giudizio Twitter, Google e Facebook nella causa Twitter, Inc. v. Taamneh, sostenendo che questi social network hanno svolto un ruolo essenziale nella nascita dell'ISIS, consentendo la diffusione della propaganda. In tal senso, la famiglia della vittima ha invocato la legge antiterrorismo degli Stati Uniti, ossia il Justice Against Sponsors of Terrorism Act (JASTA), che consente ai cittadini statunitensi, feriti in un attacco terroristico internazionale di intentare una causa di responsabilità civile. Difatti, secondo il codice statunitense è responsabile “chiunque aiuti e favorisca, fornendo consapevolmente un’assistenza sostanziale, o che cospiri con la persona che commette l’atto di terrorismo internazionale” (18 U.S.C. 2333(d)(2)).

A fronte di ciò, la Corte suprema ha elaborato un test su tre livelli per stabilire se un soggetto possa aver favorito o meno un attacco terroristico, ai sensi del sopracitato articolo. Il test analizza se (i) è stato commesso un attacco terroristico; (ii) se i convenuti sapevano di avere un qualche ruolo nell'impresa di quel terrorista; e se (iii) i convenuti hanno fornito un'assistenza “consapevole e sostanziale” al terrorista così da “partecipare colpevolmente” all'attacco terroristico.

Applicando tale test, la Corte ha concluso che le piattaforme online non sono responsabili nel caso in cui i loro utenti pubblichino e diffondano contenuti terroristici.

Secondo la Corte Suprema, ciò che può essere rimproverato alle piattaforme è una forma di passività. Tuttavia, in base alla legge statunitense vigente, non esiste alcun obbligo che imponga alle piattaforme di interrompere l'iscrizione dell’ISIS o dei suoi sostenitori dopo aver scoperto che gli stessi utilizzano i loro servizi per scopi illegali. Inoltre, anche se tale obbligo esistesse, in questo caso, la sua violazione non sarebbe comunque equiparata a un'assistenza consapevole e sostanziale all'attacco terroristico ai sensi delle disposizioni del JASTA.

In sintesi, se da un lato si può riconoscere che le piattaforme non hanno preso provvedimenti sufficienti contro i contenuti dell'ISIS, dall'altro, secondo la Corte Suprema non si può concludere, che abbiano intenzionalmente fornito assistenza sostanziale all'organizzazione terroristica.

  • Italia: L’attuazione del Regolamento europeo per i contenuti terroristici online

Di recente, anche il Governo italiano è stato chiamato ad esprimersi in merito alla responsabilità dei prestatori di servizi di hosting, includendo così anche le piattaforme online per i contenuti terroristici pubblicati sulle stesse. Infatti, le commissioni di giustizia del Senato e della Camera saranno presto chiamate ad esprimere un parere, affinché il Governo possa esercitare la delega entro il 31 agosto 2023.

A seguito della procedura di infrazione aperta dalla Commissione europea nei confronti dell’Italia per non aver provveduto, entro la data dell’entrata in vigore del regolamento, il Governo italiano ha recentemente approvato uno schema di decreto legislativo sull’ “Adeguamento della normativa nazionale alle disposizioni del Regolamento europeo 2021/784 relativo al contrasto della diffusione di contenuti terroristici online”.

A differenza di quanto previsto negli Stati Uniti, il decreto prevede che la passività delle piattaforme debba essere sanzionata. Difatti, è previsto che al momento della ricezione della notizia relativa alla presenza dei contenuti terroristici online, e della relativa intenzione di emettere un ordine di rimozione, il Pubblico ministero competente deve informare immediatamente il Procuratore nazionale antimafia e antiterrorismo e acquisire ogni necessario elemento informativo e valutativo. Successivamente, l’ordine di rimozione è adottato con decreto motivato e portato a conoscenza dei destinatari per il tramite del personale di polizia giudiziaria. In particolare, in caso di contenuti generati dagli utenti e ospitati su piattaforme riconducibili a soggetti terzi, il Pm potrà disporre la rimozione dei soli specifici contenuti illeciti.

Per l’ipotesi in cui la piattaforma non ottemperi all’ordine di rimozione, oltre all’applicazione di sanzioni amministrative e penali, potrà essere disposta l’interdizione dell’accesso al dominio internet nelle forme e con le modalità di cui all’articolo 321 del codice di procedura penale, garantendo comunque, ove tecnicamente possibile, la fruizione dei contenuti estranei alle condotte illecite.

Ad ogni modo, nei dieci giorni successivi alla conoscenza dell’ordine di rimozione, è prevista la possibilità per le piattaforme di presentare opposizione nei confronti di tale provvedimento, innanzi al giudice per le indagini preliminari, che provvede con ordinanza in camera di consiglio, ricorribile per cassazione.

In conclusione, emergono due approcci differenti circa l’inquadramento della responsabilità delle piattaforme online per i contenuti illeciti pubblicati dai loro utenti. Se il regolamento europeo e conseguentemente il decreto italiano prevedono rigide sanzioni nel caso di omessa rimozione dei contenuti da parte delle piattaforme, lo stesso non accade negli Stati Uniti. Difatti, proprio nel caso Twitter Inc. v. Taamneh, è stato chiarito dalla Corte che una diversa decisione sarebbe da considerarsi troppo severa, poiché renderebbe qualsiasi fornitore di servizi di comunicazione responsabile per il semplice fatto di essere a conoscenza di criminali che utilizzano i loro servizi.

Su un simile argomento può essere interessante l’articolo “La Cassazione sulla responsabilità hosting provider e danno in re ipsa”.

 

Technology, Media and Telecommunications

L’intelligenza artificiale e i contratti di outsourcing

L’impiego di tecnologie basate sull’intelligenza artificiale, soprattutto quando vengono esternalizzate funzioni e/o processi aziendali, presenta alcuni rischi giuridici che devono essere attentamente considerati in sede di negoziazione dei relativi contratti di outsourcing.

La questione dell’AI ha suscitato una crescente attenzione da parte dell’opinione pubblica a seguito del recente lancio di ChatGPT. Nel mondo delle imprese, l’utilizzo di soluzioni basate su AI è un fenomeno diffuso già da tempo e che riguarda tutti i settori, dalla finanza ai trasporti, fino alla sanità. La sempre maggiore disponibilità di dati consente alle aziende di sfruttare l’AI per automatizzare funzioni e processi, ridurre attività ripetitive, supportare i processi decisionali e aumentare la loro competitività sul mercato. In particolare, l’ottimizzazione dei processi e la riduzione dei costi vengono annoverati tra i principali vantaggi derivanti dall’impiego di soluzioni di intelligenza artificiale a livello aziendale.

Lo sviluppo e l’implementazione di soluzioni basate su tecnologie di AI è un’attività complessa e costosa per le aziende e richiede competenze specialistiche, un significativo investimento nelle infrastrutture tecnologiche e un impegno costante nella manutenzione e nell’aggiornamento delle soluzioni. Per queste ragioni, molte aziende optano per esternalizzare a terzi lo sviluppo e/o l’implementazione di soluzioni di AI.

Questa pratica offre molteplici opportunità, poiché consente alle aziende di beneficiare delle competenze specialistiche dei fornitori e dei loro dipendenti, di ricevere servizi di manutenzione, supporto e aggiornamento per tutta la durata del contratto e di adattare la soluzione alle reali esigenze dell’azienda, tenendo al contempo sotto controllo i costi.

  • La regolamentazione dell’uso dei dati nei contratti di outsourcing

Una prima questione alla quale è importante prestare attenzione sono i dati utilizzati dal fornitore per sviluppare e migliorare la soluzione basata sull’AI. Come noto, il funzionamento delle tecnologie di AI, in particolare di Machine Learning, dipende in larga misura dai dati e dalle informazioni che possono essere analizzati dalla macchina per produrre i risultati. L’accesso ai dati e alle informazioni del cliente è quindi fondamentale per permettere al fornitore di sviluppare e personalizzare la tecnologia in base alle specifiche esigenze del committente.

Le parti dovrebbero pertanto definire nel contratto di outsourcing quali dati e informazioni possono essere utilizzati dal fornitore e per quali finalità, tra cui va ricompreso lo sviluppo e il miglioramento della tecnologia. Inoltre, qualora vengano utilizzate informazioni confidenziali, il cliente dovrà definire le regole e modalità di accesso a tali informazioni e adottare misure tecniche volte a mantenerne la confidenzialità, come, ad esempio, la creazione di ambienti segregati.

Il fornitore dovrà anche impegnarsi ad adottare misure di sicurezza adeguate a garantire l’integrità, la sicurezza e la riservatezza dei dati e delle informazioni del cliente, soprattutto nel caso in cui il sistema di AI si basi su infrastrutture di tipo cloud. AI e contratti di outsourcing Il ricorso all’esternalizzazione per l’impiego di soluzioni di AI offre molteplici opportunità, ma presenta anche dei profili di rischio che devono essere tenuti in debita considerazione nell’ambito del contratto di outsourcing. Il contratto di outsourcing di AI deve indicare le finalità e le modalità con le quali il fornitore può accedere e utilizzare i dati del cliente, al fine di tutelarne la confidenzialità, sicurezza e integrità. La disciplina della responsabilità assume una rilevanza centrale nei contratti di outsourcing di AI, soprattutto con riferimento ai profili per i quali manca una disciplina normativa specifica. La sicurezza informatica e la gestione degli incidenti devono essere attentamente regolamentati all’interno del contratto di outsourcing di AI prevedendo una stretta collaborazione tra le parti. Il contratto di outsourcing di AI deve tenere conto del complesso panorama normativo vigente, conformandosi anche a quanto previsto dalla normativa di settore. Inoltre, qualora nel rapporto tra le parti si configurasse il trattamento di dati personali, tali trattamenti dovranno essere attentamente disciplinati nell’ambito del contratto di outsourcing, in conformità con il Regolamento generale sulla protezione dei dati n. 679/2016 (GDPR). Ad esempio, nel caso in cui il trattamento coinvolga enti situati in diverse parti del mondo, le parti dovranno disciplinare correttamente i trasferimenti al di fuori dell’Unione Europea/Spazio Economico Europeo, verificando la sussistenza di adeguate garanzie alla base dei trasferimenti, come l’adozione di una decisione di adeguatezza da parte della Commissione Europea o la sottoscrizione delle Clausole Contrattuali Standard (SCC).

  • La responsabilità relativa all’impiego delle soluzioni di intelligenza artificiale

Un’ulteriore questione che rileva nell’ambito delle negoziazioni dei contratti di outsourcing riguarda l’allocazione della responsabilità tra le parti e le relative limitazioni. Il tema della responsabilità con riferimento alle tecnologie basate sull’AI è importante sotto diversi profili. Anzitutto, come in ogni contratto, la questione della responsabilità mette in chiara evidenza le contrapposte esigenze delle parti, con il fornitore che avrà interesse a prevedere opportuni limiti alla propria responsabilità, specialmente qualora l’inadempimento fosse dovuto a fattori esterni al suo controllo, come ad esempio nel caso in cui questo fosse una conseguenza dell’utilizzo dei dati e delle informazioni del cliente.

Il tema della responsabilità assume poi una particolare connotazione nell’ambito del funzionamento dei sistemi di AI. È noto come gli output prodotti dall’AI, anche se si tratta di AI “debole” (ossia di algoritmi privi di capacità autodeterminazione e di comprensione delle informazioni processate), possono avere conseguenze, anche dannose, nel mondo esterno, facendo sorgere l’interrogativo in merito a chi debba essere responsabile per tali danni. In assenza di una normativa specifica che disciplini la materia, sono state formulate varie ipotesi che riconducono la responsabilità dell’AI in alcuni casi al produttore, in altri al programmatore, ovvero al proprietario o all’utilizzatore del sistema di AI. Ad ogni modo, appare evidente che disciplinare la responsabilità delle parti in maniera dettagliata nel contratto di outsourcing garantisce maggiore certezza giuridica quantomeno nei rapporti tra le parti.

  • La gestione degli incidenti

Un’ulteriore tematica da tenere a mente in fase di negoziazione dei contratti di outsourcing di soluzioni di AI, soprattutto qualora siano basate su infrastrutture cloud, è la gestione degli eventi che possono causare un malfunzionamento del sistema o la perdita dei dati. Questi eventi, che possono avere natura accidentale o intenzionale (e.g., attacco informatico), possono infatti avere conseguenze che vanno ben oltre il singolo sistema colpito, andando a pregiudicare anche gli stessi servizi offerti dall’azienda ai propri clienti.

A tal proposito, è opportuno ricordare che in caso si verifichi un data breach, lo stesso GDPR impone al titolare del trattamento specifici obblighi di comunicazione verso le autorità competenti e gli interessati. Inoltre, qualora il malfunzionamento o la perdita di dati abbia colpito un operatore di servizi essenziali ovvero un’impresa rientrante nel perimetro nazionale di sicurezza cibernetica, gli adempimenti previsti dalla normativa sul trattamento dei dati personali dovranno essere gestiti di concerto con gli ulteriori obblighi previsti rispettivamente dal Decreto Legislativo n. 65/2018, che recepisce la Direttiva EU 2016/1148 (Direttiva NIS), e il Decreto-legge n. 105/2019, convertito con modificazioni, dalla Legge n. 133/2019, che traccia il perimetro nazionale di sicurezza cibernetica.

Appare evidente come il corretto adempimento con la normativa non possa prescindere da una stretta collaborazione tra fornitore e utilizzatore della soluzione tecnologica. Pertanto, il contratto di outsourcing dovrà prevedere chiari obblighi di cooperazione e assistenza tra le parti nel caso in cui si verifichino eventi che possano causare un malfunzionamento della soluzione di AI o la perdita di dati, senza escludere la possibilità per il cliente di potersi rivalere nei confronti del fornitore qualora l’evento sia riconducibile ad una condotta di quest’ultimo, come la mancata adozione di adeguate misure di sicurezza.

  • L’adempimento con la normativa di settore

Infine, le parti dovranno valutare l’applicabilità delle norme di settore al contratto di outsourcing. Negli ultimi anni, sono stati numerosi gli interventi delle autorità europee e nazionali volti a regolamentare la tematica dell’esternalizzazione in settori considerati critici, quali quello bancario e assicurativo. Ad esempio, gli “orientamenti in materia di esternalizzazione” dell’Autorità Bancaria Europea (EBA) e gli “orientamenti in materia di esternalizzazione di servizi cloud” dell’Autorità europea delle assicurazioni e delle pensioni (EIOPA) individuano una serie di tematiche che devono essere disciplinate esplicitamente dalle parti nel contratto di outsourcing. Tra le più rilevanti vi sono la possibilità per le imprese operanti nel settore bancario e assicurativo di sub-esternalizzare funzioni critiche e/o importanti e, nel caso ciò sia concesso, a che condizioni, oppure la previsione di specifici diritti di accesso, informazione e audit esercitabili nei confronti dei fornitori, anche da parte delle autorità di vigilanza.

In chiusura, appare opportuno ricordare la recente entrata in vigore del Regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario (DORA), il quale prevede che i contratti stipulati tra entità finanziarie, tra le quali sono ricomprese anche le imprese di assicurazione e riassicurazione, e fornitori di servizi informatici, anche non qualificabili come outsourcing, devono contenere talune disposizioni, quali ad esempio, gli obblighi di assistenza post cessazione del fornitore, finalizzate a garantire una migliore gestione dei rischi informatici derivanti da terzi nel settore finanziario.

Si segnala, infine, che tra le principali novità introdotte dal Regolamento che è stato istituito l’obbligo per le entità finanziare di svolgere periodicamente dei test, tra i quali test di penetrazione basati su minacce, volti a valutare la preparazione alla gestione degli incidenti, identificare i punti deboli, le carenze e le lacune della resilienza operativa digitale dell’entità finanziaria e attuare tempestivamente le misure correttive necessarie. L’adempimento con questi obblighi normativi dovrà essere disciplinato puntualmente all’interno dei contratti di outsourcing, al fine di garantire un’efficace.

Su un simile argomento può essere interessante l’articolo: “Impatto dell’intelligenza artificiale sulla concorrenza nel Regno Unito”.

Consultazione pubblica sui correttivi al Codice delle comunicazioni elettroniche

Il Ministero delle Imprese e del Made in Italy (già il Ministero dello Sviluppo Economico) ha recentemente avviato una consultazione pubblica concernente lo schema di decreto legislativo per la correzione e l’aggiornamento del Codice delle comunicazioni elettroniche (d.lgs. 259/2003 come modificato dal d.lgs. 207/2021, con il quale è stata recepita in Italia la direttiva UE 2018/1972 che istituisce il Codice europeo delle comunicazioni elettroniche).

L’aggiornamento del Codice delle comunicazioni elettroniche, come si legge nel documento di avvio della consultazione pubblica, è principalmente finalizzato ad “eliminare i refusi in esso contenuti, permettere l’aggiornamento dei riferimenti normativi e introdurre, sulla scorta delle riforme di semplificazione intervenute, ulteriori nuove procedure semplificate relativamente specifiche ipotesi”.

Nel contesto della consultazione pubblica, rivolta principalmente agli operatori di mercato delle reti e dei servizi di comunicazione elettronica, il Ministero chiede ai soggetti interessati a partecipare di fornire indicazioni e commenti in relazione a diversi argomenti, quali:

  • aggiornamento e modifica delle definizioni del Codice, con particolare riferimento all’interconnessione e all’identificazione degli utenti;
  • eventuali modifiche ai meccanismi diretti a migliorare il grado di rispondenza tra i sistemi di mappatura geografica delle reti a banda larga e ad altissima capacità e l’effettiva copertura delle stesse sul territorio nazionale;
  • modifiche dell’apparato sanzionatorio;
  • ulteriori misure di semplificazione per agevolare e sviluppare la connettività e per potenziare gli investimenti in reti a banda ultralarga, sia fisse sia mobili, garantendo l’accesso generalizzato alle reti ad altissima velocità e la loro diffusione sul territorio;
  • valutazioni sull’impianto normativo in materia di tutela dei consumatori, con particolare riferimento alle tematiche legate alle risorse di numerazione e alla qualità dei servizi;
  • rimborsi dei costi per sistemi e risorse dedicati esclusivamente alla fornitura delle prestazioni obbligatorie ai fini di giustizia alla luce dei principi di non discriminazione, proporzionalità e trasparenza;
  • responsabilità degli operatori, titolari di autorizzazione generale, a mettere in chiaro le comunicazioni criptate nei casi in cui i servizi di comunicazione siano forniti da terze parti e nei casi in cui non dispongano degli strumenti per decifrare le comunicazioni criptate effettuate attraverso applicazioni o sistemi utilizzati autonomamente dall’utente o per servizi non forniti per iniziativa dell’operatore stesso;
  • previsione di una disciplina specifica e di un regime autorizzatorio per i servizi di Call Center;
  • eventuale revisione dei contributi per i diritti d’uso delle frequenze relativi al settore satellitare;
  • eventuale inserimento di un meccanismo per cui i maggiori generatori di traffico contribuiscano allo sviluppo della rete attraverso un sistema di pagamenti diretti o indiretti al fine di partecipare in modo equo e proporzionato ai costi di beni, servizi e infrastrutture pubbliche a beneficio di tutti i cittadini (c.d. “fair share”);
  • portata applicativa delle disposizioni del Regolamento UE 2022/2065 (cd. Digital Service Act) e del Regolamento 2022/1925 (cd. Digital Market Act);
  • portata applicativa della proposta di regolamento UE recante misure volte a ridurre i costi dell’installazione di reti di comunicazione elettronica Gigabit e che abroga la direttiva 2014/61/UE.

Su un simile argomento può essere interessante l’articolo “Il nuovo Codice delle Comunicazioni Elettroniche introduce notevoli modifiche al settore”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna AngillettaGiordana BabiniCarolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila CrisciCristina Criscuoli, Tamara D’AngeliChiara D’Onofrio, Federico Maria Di Vizio, Enila EleziChiara Fiore, Laura Gastaldi, Vincenzo Giuffré, Filippo GrondonaNicola LandolfiGiacomo Lusardi, Valentina Mazza, Lara MastrangeloMaria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena VareseAlessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

Intellectual PropertyConsumer Goods, Food and RetailTechnology